DASH:这次又坑多少人？深度解析Dash钱包关键漏洞

随着区块链市场商业模式的不断丰富，安全问题也不断暴露，其中钱包安全事件屡曝不止。

4月13日，Electrum钱包遭受黑客攻击，黑客利用其钱包漏洞，窃取用户密钥，导致资金被盗。

5月7日，黑客利用币安热钱包安全漏洞，访问大量用户应用程序接口密钥、双因素身份验证码、以及其他信息，从中盗取7000枚比特币。

而近日又有一起钱包被盗事件发生。据相关媒体报道，有网友爆料MyDashWallet钱包存在安全漏洞、导致用户钱包内资金被盗取。

针对一事，成都链安技术团队做出详细分析：

商思林：这次价格减半 下调有多深 上涨就多猛:4月17日，“Bibox兔子小姐直播间&大咖来了 NO6”中，火星财经联合创始人商思林表示：整个区块链产业的巨大波动性和周期性，是包括媒体、交易所、矿机厂商在内的所有从业者共同面对的问题。找到适合自己的商业模式，具备自我造血能力非常关键。此外，这次BTC价格的减半，是一次深蹲，下调有多深，将来上涨就有多猛。减半注定会影响比特币的基本供需。比特币的持续安全的运行和共识的不断扩大，其价值会越来越高。[2020/4/18]

其主要原因在于在线钱包用户在创建HD钱包和解锁HD钱包时，网页插件会将用户的keystore加密数据以及解密密码以post的方式发送到

分析 | 19年初3000-4000区间筑底似曾相识的一段 这次BTC能否王者归来？:分析师K神表示：下面为BTC18年末与19年初3000-4000美金区间震荡筑底走势，与目前BTC从7300拉高至10350在持续回落至当前8100走势对比图，从盘面走势能看出两者有其相似之处，两者前期都是先拉高至高位箱体区间盘整，接着出现破位开始震荡回落，后面再出现快速上拉又快速回落的上下插针走势，清洗市场合约多空单后，再回落至目前相对底部区域震荡，这与19年初筑底走势很相似，前期BTC位于3300-3500区间反复洗盘筹码换手充分后，开始逐步拉升并一路震荡上行至顶点14000美金，成就了19年上半年的小牛行情，历史当然不会简单重复，可以利用数据推测未来大概走势，当前BTC持续位于8000一线弱势整理，有可能也是主力惯用的洗盘手法，后面将会通过区间宽幅震荡的方式逐步消磨持币者的耐心，构筑牢固上涨中继底部结构后，并在明年减半预期的刺激下，有望再度迎来主升浪。[2019/11/21]

https://api.dashcoinanalytics.com/stats.php

分析 | BTC 3年前似曾相识的一段 这次能否王者归来？:分析师K神表示：BTC价格在今年初两次探底MA200周均线不破后，于4月初迎来了强涨行情，并接连突破MA50与MA100周均线压制，直至涨至19年目前顶点14000美元，随后价格再大幅下探至MA100周均线测试支撑，不破再度迎来周线级别的大幅反弹并冲至10000美元上方，然后回落至斐波那锲0.5点位支撑8500美元附近，这一波整体走势与比特币2016年初走势很相似，前面周线也是在突破周线MA100后进行了回踩确认，不破后出现了超跌反弹走势，接着进入了小区间震荡调整走势，最后在MA50上穿MA100均线形成金叉的位置，开启了减半前的快速拉升行情。目前盘面来看，MA50周均线抬头上行，MA100均线拐头向下，两线形成金叉还需要一段时间，表明价格有止跌企稳的趋势，接下来BTC处于区间宽幅震荡的可能性更高，上方周线压力斐波那锲0.382点位9750美元，通过反复震荡洗盘筹码充分换手后，大概率将再度迎来主升浪。[2019/11/15]

具体分析步骤如下：

声音 | Ran NeuNer：这次牛市更多是因为基本面:加密货币分析师和CNBC主持人Ran NeuNer4分钟前发推表示：\"这次牛市虽然走的比较谨慎, 但比上一次更振奋人心。上次牛市是建立在炒作和不理性的基础上的，这次不是炒作, 更多的是因为基本面, 也就是更多区块链被现实应用和正在被应用的区块链的市值正在上升到所有区块链前列。\"[2019/4/23]

在https://mydashwallet.org/上创建HDWallet以后，网页会直接向https://api.dashcoinanalytics.com/stats.php以POST的方式传送数据，如图所示：

FormData：为Base64编码后的数据。具体如下：

解码后数据为：

本地下载MyDashWallet.HDSeed后，打开文件获取数据如下：

MyDashWallet.HDSeed中的加密的数据与上传的a2c数据中“ks”数据相同。

Seed文件存储在本地，如下所示，可通过js脚本直接获取到seed的值。

在解锁钱包时，网页会会直接以POST的方式传送a2c数据，数据跟上面创建钱包时传输的数据一样。

攻击手法：

通过查看网页源码，generateKeystoreFile()函数内容如下：

其中生成enryptedData时，需要传入key和钱包的密码，用于加密生成HDSeed文件。

解锁钱包的unlockKeystore()函数内容如下：

两个函数都调用了CryptoJS.AES.decrypt()函数。

当输入解锁钱包密码后，网页向https://api.dashcoinanalytics.com/stats.php传输数据，Initiator是CryptoJSlibByteArray.js:753，其内容如下：

通过查看网页源码发现网页中加载了引用自greasyfork.org的CryptoJSlibByteArray.js文件。

直接在浏览器中打开CryptoJSlibByteArray.js文件，开头内容如下：

此文件中插入大量的空白，真实发送数据的代码从728行开始。内容如下：

通过设定循环执行函数，通过localStrage获取到相关的HDSeed内容和解锁密码。在钱包实例化以后，直接在浏览器console中输入dashWallet可得以下内容：

从上面的分析来看，攻击者通过某种方式在在线钱包中插入恶意插件，用户使用在线钱包时，加载了恶意插件，恶意插件设置循环执行函数获取到seed的值和解锁的密码。从而获取到钱包的控制权。

存在的危害：

在线钱包，顾名思义，它是在联网状态下进行交易的钱包，一般又称“热钱包””。其种类多样，有电脑客户端钱包、手机APP钱包、网页钱包等。热钱包对于交易频繁的用户来说是非常便捷的，但由于其联网使用的模式，也增加了受到黑客攻击，被盗取秘钥的风险。而一旦被黑客掌握秘钥，就相当于获得了资产的直接掌控权。

此次事件中，用户正是使用此在线钱包后，被攻击者通过某种攻击方式将恶意插件插入钱包中，从而获得钱包用户的密钥，直接利用密钥盗取用户资产的。

对用户的建议：

建议最近使用过此在线钱包的用户，通过其他方式生成新的钱包，并将财产转移至新钱包。

同时，对于会经常使用到在线钱包的用户，我们建议在使用时，在不同平台设置不同的密码，并且开启二次认证。另外，建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

标签：DASDASHASHSEEDDOGEDASH价格iDASH币dash币前景怎么样Seedon

以太坊交易热门资讯